[发明专利]一种虚实融合的流欺骗防御方法

权利要求书

1.一种虚实融合的流欺骗防御方法，其特征在于：在流欺骗防御过程中，通过监控检验实现真实业务环境与虚拟诱饵环境双向切换；具体包括：

Step1:欺骗防御先获取真实业务系统的环境配置、数据文件,网络环境,构建同构的虚拟化环境即影子系统做诱饵,包括配置环境变量﹑构建相应的网络环境,对重要数据进行脱敏操作,转为静态数据，影子系统的形式为超融合虚拟机集群、Docker容器服务,或为两者混合架构；

Step2:中间感知器在真实业务系统中持续监控,利用规则库对访问流量的可疑程度进行判断，如果判定为可疑访问行为则向后续的流欺骗模块发起防御请求，并向AI分析引擎发送攻击数据,进行深度学习数据更新；

Step3:防御请求由流欺骗模块接收,收到请求消息后,在确保影子系统部署完善前提下,通过流捕获手段对可疑流量进行转移,由虚拟影子系统承载访问流量,实现由实到虚的流欺骗防御；

Step4:后台监控校验，人工校验组件对转移到虚拟影子系统中的流量进行持续的监控,对于无持续可疑行为的访问流量即假阳性误判的情况发起人工校验；

Step5:人工校验通过后,发起引回流量的请求,同样通过捕获流技术,将访问流量引回到真实业务系统中,实现由虚到实自检验高精度防御，同时将假阳性误判样例反馈回AI分析引擎,进行深度学习的样本更新,AI引擎更新学习后,将与中间感知器同步新的判断规则。

2.根据权利要求1所述的方法，其特征在于，以部署在真实业务系统中的感知器做流欺骗防御发起方，人工校验组件为流量由虚拟系统回引至真实系统的控制组件，后台以全栈虚拟化为基础平台支撑。

3.根据权利要求2所述的方法，其特征在于，感知器为：前端部署在用户真实业务系统中做监测，后端以人工智能机器学习分析引擎做支撑，业务系统的日志数据作为机器学习的数据来源，其输出为感知器前端的判断依据，而系统流欺骗防御的数据又将反馈到分析引擎中，实现自动化实时更新。

4.根据权利要求2所述的方法，其特征在于，人工校验组件对由真实业务系统引流到虚拟影子系统的流量进行持续监控，并对其敏感程度进行评估；在该访问流量可疑程度较低时发起流量回引操作。

5.根据权利要求2所述的方法，其特征在于，全栈虚拟化结合虚拟机计算虚拟化、分布式存储虚拟化以及分层网络虚拟化的超融合虚拟化技术以及Docker容器技术，弥补虚拟机不够轻量的不足，实现从应用到整机的不同粒度虚拟化。

6.根据权利要求2或权利要求4所述的方法，其特点在于，基于人工校验的流量回引流程为：组件发出校验请求后，系统根据当前用户访问行为特点，以验证码或验证链接的人工校验方式，要求当前用户进行人工参与的校验，通过后再执行流量回引操作。